Forbedring og risikoreduksjon
Beskrivelse
Metodikk for forbedring og for ytterligere reduksjon av risiko så langt det er mulig.
Begrunnelse
Det ble gjort to konkrete observasjoner innen metodikk for forbedring og ytterligere reduksjon av risiko så langt det er mulig. Den første omhandler Statoils arbeidsprosess «RM100 – Manage Risk», mens den andre omhandler Sleipners Lokalt addendum til TR1055.
Sleipner-organisasjonen bruker Statoils arbeidsprosess «RM100 – Manage Risk» til risikostyring. I RM100 er risikomatriser sentrale verktøy. Disse risikomatrisene deles opp i fargeområdene rødt, orange, gult og grønt. I henhold til RM100 krever ikke Statoil ALARP for det grønne området, i motsetning til de andre fargene der dette eksplisitt kreves i RM100.
Denne tolkningen av et «grønt område» er ikke helt i henhold til Styringsforskriften §23 om kontinuerlig forbedring, herunder krav om identifisering av behov for forbedring og Rammeforskriften §11 om prinsipper for risikoreduksjon, herunder ytterligere risikoreduksjon så langt det er mulig.
Vi ser denne observasjonen i sammenheng med Ptils Gina Krog-tilsyn forbedringspunkt 5.1.2 (Aktivitetsnummer 001029009) angående ALARP-prosedyren GL0139. Statoil svarte etter Gina Krog-tilsynet at «prinsippet for ALARP gjelder helt ned», og derfor anser vi at det ikke er noen uenighet mellom Ptil og Statoil om tolkningen av kravet.
Videre la Sleipner-organisasjonen i oppstartsmøtet på land vekt på bruk av Lokalt addendum til TR1055, spesielt følgende krav: «Modifications and projects shall not increase the overall risk (FAR-value) at Sleipner. If a modification results in an increased risk at the installations, risk reducing measures barriers shall be established to maintain or reduce the overall risk. Risk reduction evaluations shall be documented.»
Det er vanskelig for Ptil å se hvordan dette lokale addendum til TR1055 fullstendig oppfyller nevnte krav om ytterligere risikoreduksjon så langt det er mulig og krav om identifisering av behov for forbedring. Organisasjonen viste at de i praksis jobber med risikoreduksjon og forbedring, men når organisasjonen samtidig legger vekt på Lokal addendum til TR1055, kan det oppstå situasjoner der forskriftskravene ikke vil bli oppfylt i praksis.
Vi er klar over at andre deler av Statoils styringssystemer kan sies å være på linje med de nevnte forskriftskravene når det gjelder risikoreduksjon og forbedringer. Men lokalt addendum til TR1055 ble tillagt så stor vekt i Sleipner-organisasjonen at det kan resultere i at praksis ikke alltid oppfyller forskriftskravene.
Kravet om forbedring innebærer «å identifisere de prosessene, aktivitetene og produktene der det er behov for forbedring, og sette i verk nødvendige forbedringstiltak». Det er altså ikke krav om at alt alltid skal reduseres, bare der det er et behov. I tillegg er det krav om ytterligere risikoreduksjon så langt det er mulig så sant kostnadene ikke står i et vesentlig misforhold til den risikoreduksjonen som oppnås.
Samlet kan begrunnelsene for forbedringspunktet tyde på at det er uklart hvordan Statoil praktiserer forbedring og risikoreduksjon.
Hjemmel
Forutsetninger i Totalrisikoanalysen (TRABA) relatert til trykkavlastning og tennsannsynlighet
Beskrivelse
Forutsetninger i TRABA som benyttes for beregning av feilsannsynlighet for trykkavlastningssystemer og tennsannsynlighet ved gasslekkasjer.
Begrunnelse
Under tilsynet ble det avklart at automatisk trykkavlastning på Sleipner initieres av bekreftet brann og APS slik det er reflektert i ESD hierarki og Cause & Effect. Operasjonell prosedyre som beskriver krav til manuell trykkavlastning er WR 1156, Tillegg til: Beredskap på norsk sokkel – Sleipnerfeltet.
TRABA A-21:
Under forutsetning TRABA: A-21 "Gassdeteksjon og beregning av feilsannsynlighet for isolerings- og trykkavlastningssystemer" er det angitt følgende:
"For alle små, medium og store lekkasjer automatisk detektert av gassdeteksjonssystemet blir ESD /BD initiert. ESD/BD feilsannsynlighet er kun styrt av systemets tekniske feilsannsynlighet".
Gassdeteksjon vil ikke initiere automatisk trykkavlastning og vellykket trykkavlastning innenfor forutsatt tid er avhengig av manuell respons og ikke kun styrt av systemets tekniske feilsannsynlighet.
TRABA A-09:
I TRABA er det angitt en forutsetning i forhold til responstid på initiering av trykkavlastning avhengig av størrelse på gasslekkasjen (A-09). Forutsetningen blir benyttet for vurdering av tennsannsynlighet.
I Appendix B Sikkerhetsstrategi – Sleipner feltet er det i PS 3 beskrevet at manuelle aksjoner ved gassdeteksjon, som for eksempel initiering av trykkavlastning, skal være i henhold til etablerte prosedyrer. Det virket å være lite kjennskap offshore til krav til responstid og prosedyrer for når manuell trykkavlastning skal initieres. Prosedyren det refereres til er WR1156 som angir at man skal initiere seksjonell trykkavlastning ved gassdeteksjon. I denne prosedyren er det ikke angitt noen kriterier for responstid.
Det er også manglende samsvar mellom sikkerhetsstrategi og implementert løsning på sleipner i forhold til hva som initierer trykkavlastning. I Appendix B Sikkerhetsstrategi – Sleipner feltet er det i PS 8 beskrevet at manuell initiering av ESD 2 vil initiere automatisk trykkavlastning, dette er ikke implementert.
Hjemmel
Risikoidentifikasjon
Beskrivelse
Mangelfull metodikk for risikoidentifikasjon.
Begrunnelse
Sleipner-organisasjonen har vist eksempel på risikovurdering i langtidsplaner: «Beslutningsnotat ASG Sleipner mars 2016» (internt notat). Her identifiseres rammebetingelser som får betydning for videre risikostyring.
Videre utføres det risikoworkshop annenhver uke: «Risikovurdering av OPSPLAN» (internt notat). Denne virker å være basert på tverrfaglig kunnskap om risikofaktorer.
For å oppfylle kravene til risikoanalyser bør blant annet standarden NORSOK Z-013 benyttes. Standarden vektlegger at relevante farer ikke overses. NORSOK Z-013 sier i kapittel 5.3.3 at dokumentasjon av fareidentifikasjon skal inkludere metode/lededeord som er brukt.
Sleipner-organisasjonens eksempler viser at metode/ledeord ikke alltid er sporbart.
Hjemmel
Usikkerhet i risikoanalyser
Beskrivelse
Mangelfull systematikk for å gjøre nødvendige vurderinger av usikkerhet.
Begrunnelse
Sleipner-organisasjonen har stor oppmerksomhet på å identifisere alle relevante risikoer. Blant annet ble dette gjort ved å bruke personell med bred kompetanse. Dette kan bidra til at de nødvendige vurderinger av usikkerhet gjøres.
Men vi observerte også at kunnskapsstyrke/usikkerhet ikke var en fast kategori. For eksempel har risikomatrisene kategorier som sannsynlighet, konsekvens og styrbarhet, men ingen faste kategorier for kunnskapsstyrke/usikkerhet. Dette kan medføre en mulighet for at kategorien ikke alltid vurderes ved behov.
Hjemmel